Aplicando Resiliência Proativa com times de ProdSec para Produtos Digitais

Equipes de ProdSec, ou Segurança de Produto, estão se tornando cada dia mais populares, pela abordagem de segurança mais abrangente que adotam, em relação a ecossistemas que compõem produtos digitais.

Você certamente já está familiarizado, ou já ouviu falar, sobre Security by Design, graças a LGPD, ou mesmo conceitos como Shift-Left Security ou Baked-In Security. Seja qual for o conceito, empresas que desenvolvem produtos digitais devem entender que segurança deve ser considerada em todo o ciclo de vida de um produto e não tratada apenas sobre aplicativos individuais. Para atingir este objetivo, cada vez mais empresas estão adotando equipes dedicadas exclusivamente à segurança de produto como forma de realizar esta mudança de abordagem em relação a cybersec.

A segurança do produto expande o escopo da segurança de aplicativos (AppSec) tradicionais para muito além dos testes de vulnerabilidade. Domínios da defesa, colaboração entre grupos de negócios, design thinking, modelagem de ameaças, arquitetura e engenharia de software e gerenciamento de riscos aplicado ao produto são algumas das frentes de combate de ProdSec.

Ao participar ativamente de cada estágio do processo de desenvolvimento, a equipe de segurança do produto ajuda a incorporar considerações de segurança no design, arquitetura, codificação, teste e lançamento do software para produção. Esta abordagem proativa é inerente ao ciclo e vida do produto, e minimiza consideravelmente o risco de vulnerabilidades, garantindo que a segurança seja um aspecto integrante do produto final, em todas as suas versões.

AppSec x ProdSec

Embora AppSec e ProdSec compartilhem de um propósito em comum – ajudar uma organização a lançar e manter software seguro – o papel que cada função desempenha para atingir esse objetivo é diferente. A segurança da aplicação se concentra em testes, validação e no radar de tecnologias do projeto, enquanto a segurança do produto traz para o jogo as regras de negócios durante todo o SDLC (Software Development Life Cycle).

Indo mais fundo, enquanto a equipe responsável por AppSec se aprofunda em cada aplicativo individual, a segurança do produto tem uma visão mais ampla, de ponta a ponta, da segurança de toda a pilha que compõem um determinado produto.
Considere a ProSec como uma extensão da AppSec. A segurança de aplicativos concentra-se em proteger o código e a funcionalidade de um único aplicativo de software enquanto a segurança do produto tem uma visão holística de todo o produto tecnológico, considerando um ambiente mais amplo e os potenciais vetores de ataque que podem surgir das comunicações entre vários componentes.

Esse ambiente mais amplo pode incluir vários aplicativos ao mesmo tempo, componentes de hardware, infra estrutura, fluxos de comunicação, interfaces de usuário, serviços associados e etc. A segurança do produto avalia a postura de segurança de um produto à medida que são implantadas adições ao ecossistema.
Uma maneira de pensar na diferença entre AppSec e ProdSec é imaginar os aplicativos como pizzas em um restaurante. A segurança da aplicação é equivalente a examinar uma única pizza para ter certeza de ela parece segura e livre de contaminações antes de servi-la a alguém.

Entretanto, a segurança do produto é o processo de melhorar a forma como o restaurante faz as pizzas e as ferramentas que utiliza para garantir que cada pizza seja segura e saborosa. Para ProdSec, todo o processo de confecção da pizza importa. Desde a compra e armazenagem dos insumos passando pelo processo de cozimento do início ao fim e incluindo como elas são entregues ao consumidor final. A ideia de ProdSec é garantir que sejam implementadas as ações e os processos corretos em cada etapa, para garantir que toda e qualquer pizza tenha exatamente a composição correta, atenda às necessidades específicas de uma pizza e alcance os padrões necessários, sem nenhum tipo de intervenção indesejada.

A Ascensão da Segurança do Produto

O fato de a segurança do produto testar ganhando espaço não é, de forma alguma, uma negação das metodologias de testes tradicionais de segurança de aplicativos. ProdSec é o reconhecimento de que a entrega moderna de software precisa de um olhar diferente, além dos “escovadores de bits” dos testes de segurança de aplicativos tradicionais.

Ao reconhecer que aplicações não funcionam no vácuo, e tem todo um ambiente ao seu redor, (que pode ser explorado e é corruptível), a segurança do produto posiciona-se como referência para ajudar a observar as lacunas entre as aplicações individuais. Os membros de uma equipe de ProdSec também atuam como divulgadores da segurança de uma empresa, podendo ajudar a incutir fundamentos de segurança nos processos de desenvolvimento repetíveis e na “fábrica de software” que produz todo o código.

É de suma importância relembrar que a segurança do produto não substitui a segurança tradicional do aplicativo. A segurança de aplicativos continua, e sempre continuará, a desempenhar um papel importante na proteção de software, idealmente dentro de uma estrutura de segurança de produto bem coordenada.

Observe que a segurança do produto depende de práticas de segurança de aplicativos para limitar e reduzir vulnerabilidades dentro do aplicativo. Sem abordar as vulnerabilidades no nível do aplicativo, nenhuma quantidade de medidas de segurança adicionais em torno do produto pode garantir um padrão elevado de segurança.

ProdSec – Mãos a Obra

Implementar a segurança cibernética adequada para produtos digitais passa inicialmente por uma quebra de cultura e obrigatoriamente se relaciona intimamente com a arquitetura de software.

A quebra de cultura e o papel da arquitetura

O atrito cultural, entre segurança e engenharia, não é algo tão recente. Normalmente o time de engenharia está preocupado em entregar o melhor produto para os usuários finais e o time de segurança em mitigar todos os riscos que podem acabar com o negócio. Sim, evitar que um produto digital falhe, em termos de segurança, deveria ser objetivo comum, contudo o atrito cultural entre os times existe e deve ser levado em conta. Um primeiro passo, é aceitar que produtos digitais não são ilhas isoladas, que funcionam sozinhos ou com poucos componentes de infraestrutura. Deve-se lembrar que componentes que ficam “esquecidos” ou “escondidos” são passivos de vulnerabilidades de segurança. É justamente nestas lacunas onde o time de ProdSec precisa dedicar sua atenção.

Uma forma de tornar os componentes mais explícitos para todos, é através da arquitetura de software. Então, para ProdSec, arquitetura de software é a pedra fundamental onde a segurança de aplicações deve se apoiar, desde o início da concepção do produto. As decisões arquiteturais relacionadas aos componentes, suas responsabilidades e seus relacionamentos devem explicitar os estilos e padrões arquiteturais pensados para mitigar preocupações com escalabilidade, desempenho, segurança e modularidade. Neste processo de modelagem arquitetural a visão de alto nível de ProdSec deve ser refletida nas definições arquiteturais, mas para isso acontecer o time de ProdSec precisa ser parte fundamental do processo.

Um ataque cibernético (na grande maioria dos casos) não acontece instantaneamente, como nos filmes, onde se consegue um acesso privilegiado com dois ou três comandos no terminal. Um ataque bem sucedido é fruto de muito tempo investido em reconhecimento do alvo, e grandes doses de criatividade. Cada definição arquitetural reflete em um ponto de exploração para o atacante, que pode se reverter em uma vantagem. Um exemplo simples é o de uma aplicação desenvolvida usando todas as melhores práticas de desenvolvimento seguro, com bibliotecas checadas e homologadas e que é invadida facilmente por conta de uma vulnerabilidade no servidor web, ou em um API gateway externo.

Segurança desde a Concepção

Agregar a palavra “segurança” a cada decisão tomada na construção de um produto digital é, sem dúvida, a chave para o sucesso. Terminologias como Security by Design, Baked-In Security e Shift-Left Security versam exatamente sobre trazer o tema segurança desde os estágios iniciais da concepção de produtos e aplicações.

Times de arquitetura e engenharia de software já trazem em seu DNA algumas preocupações de segurança, com um olhar crítico para tecnologias, ferramentas e saúde do código produzido. E isso é valioso e deve ser perpetrado e escalado cada vez mais.

Em cima desta prática de arquitetura, os times de ProdSec expandem o olhar de segurança, trazendo questionamentos referentes a tópicos como regras de negócio, desvios não esperados de comportamento por parte do usuário e integrações externas e internas do produto.

A grande ideia aqui é construir uma cultura proativa de segurança, prevendo e mitigando riscos antes mesmo deles terem a chance de existirem e serem explorados.

Esse olhar crítico, com uma visão de negócios, deve fazer parte de todo o ciclo de vida do produto, desde sua concepção até seu completo descarte, trazendo questionamentos práticos referentes a cada fluxo, atualização ou integração. Escolhas bem acertadas, em termos de segurança, feitas ainda nas fases de projeto iniciais, resultam em um produto mais maduro e resiliente, além de economizarem muitos dólares em retrabalho.

Explorar o comportamento de uma aplicação frente a interações inesperadas é comportamento de praxe para um atacante. Algumas regras de negócio aplicadas a um produto, se arquitetadas de maneira descuidada, podem revelar informações que resultem em vantagens para um atacante. O mesmo vale para integrações do produto com ferramentas ou sistemas de terceiros, sejam internos ou externos, o que, se não forem bem arquitetadas, podem resultar em vulnerabilidades ou em ataques de supply-chain.

Atingindo o Conceito de Resiliência Proativa

A resiliência proativa é um conceito que se refere à capacidade de uma organização de se adaptar e responder rapidamente a mudanças ou ameaças. No contexto de segurança, a resiliência proativa é a capacidade de uma organização se proteger de ataques cibernéticos e se recuperar rapidamente de incidentes de segurança.

A resiliência proativa é importante para o desenvolvimento de produtos e ecossistemas digitais, pois o ambiente cibernético onde reside o produto está em permanente exposição e sob mudanças e atualizações constantes.

Para implementar uma estratégia de resiliência proativa atrelada aos produtos digitais, as organizações devem adotar uma abordagem holística que considere todos os aspectos da segurança. Times de ProdSec encabeçam estas atividades dentro de diversos departamentos:

  • Arquitetura de segurança: Como citamos anteriormente, as organizações devem projetar seus sistemas e produtos com segurança em mente, desde o principio. Isso inclui a implementação de controles de segurança adequados e a adoção de práticas de desenvolvimento seguro.
  • Operações de segurança: As organizações devem implementar processos e procedimentos para monitorar e responder a ameaças. Isso inclui a implementação de ferramentas e sistemas de segurança, bem como o treinamento de funcionários sobre segurança cibernética.
  • Resiliência e Disponibilidade: Desenvolver mecanismos e salvaguardas que, mesmo durante uma situação crítica de segurança, garanta que seu produto se mantenha disponível e operacional, além de garantir a segurança e a privacidade de seus clientes.
  • Cultura de segurança: As organizações devem criar uma cultura de segurança que promova a conscientização e a responsabilidade em relação à segurança.

A resiliência proativa pode ser implementada por meio de uma série de práticas e medidas, incluindo:

  • Implementação de controles de segurança em todo o ecossistema do produto digital
  • Treinamento de funcionários sobre segurança cibernética.
  • Monitoramento da cadeia de suprimentos para identificar e responder a ameaças.
  • Implementação de uma estratégia de resposta a incidentes.
  • Realização de exercícios de segurança para testar a resiliência da organização.

Alguns bons exemplos de como a resiliência proativa pode ser aplicada ao desenvolvimento de produtos e ecossistemas digitais:

  • Uso de técnicas de engenharia de segurança para identificar e corrigir vulnerabilidades antes do lançamento de um produto.
  • Implementação de mecanismos de defesa que possam mitigar o impacto de um ataque.
  • Desenvolvimento de planos de continuidade de negócios para garantir que as operações possam continuar em caso de incidentes de segurança.

Como a EximiaCo pode lhe ajudar

Se a sua organização está considerando desenvolver um novo produto digital ou aprimorar um existente, confie em nossa Consultoria e Assessoria em Desenvolvimento de Produtos Digitais. Se, por outro lado, você já possui uma aplicação digital e deseja fortalecer a segurança de sua solução, explore nossos Serviços de Adoção de Processos Seguros.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

INSIGHTS EXIMIACO

Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Segurança da Informação

Backdoor Descoberto em Biblioteca de Compactação Afeta Distribuições Linux

Especialista em Segurança da Informação
Segurança da Informação

Integrando o Conceito de Security by Design ao Planejamento Estratégico em um Mundo VUCA

Especialista em Segurança da Informação
Segurança da Informação

Soluções CIAM – A Gestão de Identidade para Clientes

Especialista em Segurança da Informação
EximiaCo 2024 - Todos os direitos reservados
0
Queremos saber a sua opinião, deixe seu comentáriox
()
x
Oferta de pré-venda!

Mentoria em
Arquitetura de Software

Práticas, padrões & técnicas para Arquitetura de Software, de maneira efetiva, com base em cenários reais para profissionais envolvidos no projeto e implantação de software.

Muito obrigado!

Deu tudo certo com seu envio!
Logo entraremos em contato

Aplicando Resiliência Proativa com times de ProdSec para Produtos Digitais

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Aplicando Resiliência Proativa com times de ProdSec para Produtos Digitais

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?